Craig Federighi ne veut pas créer un logiciel que les criminels pourraient exploiter

Mickaël Bazoge |

Craig Federighi, vice-président en charge de l'ingénierie logicielle chez Apple, a pris sa plume (ou son clavier virtuel) pour écrire une tribune dans le Washington Post. Il s'agit évidemment de défendre la position du constructeur dans le combat qu'il mène actuellement contre le FBI pour défendre la vie privée des utilisateurs de terminaux iOS. Pour lui, « rien n'est plus important que la sécurité de nos clients ».

Il explique que lui et son équipe doivent travailler sans cesse pour être en avance sur les hackers et les attaques en tout genre qui « cherchent à fouiner dans les informations personnelles ». « Malheureusement, ces menaces sont de plus en plus sérieuses et sophistiquées avec le temps ». Et Federighi d'égrener quelques unes de ces attaques qui ont fait du bruit ces 18 derniers mois, dans les systèmes des chaînes de distribution, dans les banques, et « même au gouvernement fédéral », indique-t-il comme pour souligner l'ironie de la chose.

Le vice-président reprend également un argument déjà entendu dans la bouche de Tim Cook. L'iPhone est aujourd'hui plus qu'un appareil personnel. « Dans le monde mobile et connecté d'aujourd'hui, [le smartphone] fait partie du périmètre de sécurité qui protège votre famille et vos collègues. L'infrastructure vitale de notre nation — comme le système électrique ou les réseaux de transport — deviennent vulnérables quand un individu se fait pirater ».

Et pour bien mettre le point sur le « i », Federighi écrit : « Les criminels et les terroristes qui voudraient infiltrer nos systèmes et perturber les réseaux sensibles peuvent commencer leurs attaques en accédant au smartphone d'une seule personne ». Sous-entendu : mieux vaut que ce smartphone soit bien sécurisé.

Malgré les efforts d'Apple, rien n'est sûr « à 100% ». Même les meilleurs peuvent se tromper : « Une erreur peut devenir une faiblesse, quelque chose qu'un hacker peut utiliser. Identifier et corriger ces problèmes sont une partie critique de notre mission pour conserver les clients en sécurité. Faire quoi que ce soit qui entraverait cette mission serait une sérieuse erreur ».

mompl — CC BY-NC-ND

On en revient donc à la volonté du FBI, du Department of Justice et aux autres organismes de sécurité de pouvoir accéder au contenu d'un iPhone. Ces derniers ont indiqué que les mesures de sécurité d'iOS 7 étaient bien suffisantes pour assurer la protection des données des utilisateurs, et « que nous devrions simplement revenir aux standards de sécurité de 2013 ». Mais voilà : « La sécurité d'iOS 7, bien qu'à la pointe à l'époque, a depuis été brisée par les hackers. Pire encore, plusieurs de leurs méthodes ont été industrialisées et elles sont maintenant disponibles à la vente pour des pirates moins doués, mais souvent plus malveillants ».

La demande du FBI est de créer une porte dérobée, insiste Craig Federighi, qui « prend la forme d'un logiciel spécial contournant les protections du mot de passe, créant une vulnérabilité qui permettrait au gouvernement de forcer le passage dans un iPhone ».

Une fois créé, ce logiciel — les forces de l'ordre ont concédé qu'elles voudraient l'exploiter dans beaucoup d'iPhone — deviendrait une faiblesse que les pirates et les criminels pourraient utiliser pour faire des ravages dans la vie privée et les biens personnels de chacun d'entre nous.

Craig Federighi rappelle que si les logiciels ont la possibilité de se déployer à la vitesse « d'un clin d'œil », c'est aussi le cas pour le code malintentionné. « Et quand les logiciels sont créés pour de mauvaises raisons, ils ont une capacité énorme et de plus en plus importante de faire du mal à des millions de gens ».

Les innovations logicielles de l'avenir dépendront des fondations d'une sécurité forte des appareils, conclut-il. « Nous ne pouvons pas nous permettre de se laisser distancer par ceux qui exploitent la technologie dans le but de créer le chaos. Nous ne pouvons pas nous permettre de ralentir, d'inverser notre progression, de mettre tout le monde en danger ».

avatar Kabrice | 

Mais du coup qui garantirait qu'apple n'a pas altéré le contenu de l'iPhone?

avatar tbr | 

"Mais du coup qui garantirait qu'apple n'a pas altéré le contenu de l'iPhone?"

Ce ne serait pas du tout dans leurs intérêts.

avatar Kabrice | 

Je ne parle bien évidement pas d'alteration volontaire. L'analyse de preuves est normalement faite par des organisations accréditées suivant des protocoles définis. Telle l'analyse d'une boite noire d'un avion qui n'est pas faite par le fabriquant lui même.

avatar Neufouad | 

@Kabrice

Comme Apple proposait de dépêcher des ingénieurs… Ne pensez-vous pas qu'un acronyme pourrait dépêcher quelques agents ?

À moins, bien entendu, qu'ils n'aient pas confiance en leurs personnels, mais là ils feraient le jeu de tous les lanceurs d'alertes. :sifflotte:

EDIT : marrant le temps de répondre à votre précédente question ma réponse est allée se fourer dans la suivante… Pas très au point le formulaire de réponse… :o)))

avatar Kabrice | 

Probablement mais du coup des personnes extérieures à Apple auraient accès et donc se pose la question de la pérennité de la sécurisation de cette activité.
Néanmoins je pense que c'est un faut problème. J'ai du mal à croire que la NSA ou le FBI n'est pas les moyens de faire un dump de la memoire de l'iPhone et de faire tourner des logiciels de décryptages. Ca prendrait du temps mais je ne vois pas ce qui pourrait empêcher que ca marche.

avatar rikki finefleur | 

Kabrice
Oui enfin si le décryptage dure 2 mois, le gars est déjà parti.

avatar Neufouad | 

@Rikki
Ce n'est pas une question de temps ou de moyens… Mais d'essais possibles.
Même avec leur « reverse personnal life engineering » ; ça fait court 10 essais.

Ha et le gars risque plus de partir très loin hein.

avatar Neufouad | 

@Kabrice
Pas une question de moyens (pas comme s'ils n'avaient pas accès aux plus gros calculateurs disponibles), mais d'essais possibles. 10 essais foirés et tout s'efface ; c'est le principe sécuritaire mis en place par Apple (tentez chez vous ; vous verrez… je blague ;o) ). Et ce, même (voire surtout) si l'on décidait d'y aller de force.
Sachant qu'ils se sont mis EUX-MÊMES dans cette situation pour le moins fâcheuse.
À escient ou non ; nous ne le saurons jamais…

avatar Kabrice | 

Sur le téléphone oui mais il doit bien y avoir un moyen de faire un dump de la mémoire du téléphones un ordinateur et à partir de la ben tu n'as plus trop de problème.

avatar Neufouad | 

À priori ; et sans vouloir vous offenser ou vous manquer de respect… Vous n'avez pas suivi grand chose de toute cette affaire et faites montre d'une belle ignorance quant aux solutions techniques envisagées ou envisageables. Même un pirate expérimenté s'y péterait les ratiches force 12 (demandez-vous pourquoi ce silence assourdissant de la planète warez…)… et c'est justement le but premier de tout cela. Ne fantasmez pas en somme.
Je ne peux que vous inviter à relire tous les articles, la plupart des commentaires (notamment ceux de C1rc3@0rc) et autres joyeusetés (qui piquent les yeux parfois)…
Je sais, ça peut paraître long (d'où le fait que j'élude ; tout a déjà été dit, ou pas loin). :o))

avatar Neufouad | 

Juste en dessous de nous… Quelques éléments de réponse. Par exemple. ;o)

avatar C1rc3@0rc | 

@tbr
Parce que c'est illegal!

Apple ne peut pas pirater un iPhone, meme sur demande du FBI, c'est illegal et le contenu ne pourrait pas etre utilisé dans un cadre legal.
De plus Apple serait alors en infraction et n'importe quelle association de consommateurs pourrait l'attaquer et cela a plusieurs titre.

Le FBI a 2 solutions
- invoquer le Patriot Act, et la c'est l'armee, la NSA, la CIA, etc qui s'occupent de sortir les données.
- creer une jurisprudence qui rend illegal le chiffrage [sans backdoor] et rend illegale la donnee privée protegée.

En fait on arriverait, selon l'idée que semble avoir l'administration US, par l'entremise du FBI a la situation du cloud.
Depuis le Patriot Act, les donnees sur les cloud appartiennent aux USA et aux societes US qui les collectent ou les hebergent, ou qui les font transiter.

Apple l'a bien dit et cela doit etre répété encore et encore pour que les gens le comprennent: toutes les données sur iCloud sont accessibles a Apple et Apple doit les remettre aux autorités qui les demandent! C'etait d'ailleurs ce qu'Apple voulait faire avec l'iPhone de l'histoire: sychroniser l'iPhone sur iCloud et comme ça le FBI aurait eu acces a tout le contenu. Sauf que le FBI a pris ses precautions et a fait changer le mot de passe avant qu'Apple puisse faire la manipulation...

Cela est vrai pour tout ce que l'on nomme le cloud et pour toutes les entreprises: n'importe qui mettant une donnee sur le cloud accepte d'en perdre les droits!

Une donnee n'est privee, et donc protegée, que tant qu'elle reste sur une machine individuelle, non synchronisée avec le net!

avatar tbr | 

@C1rc3@0rc

"Parce que c'est illégal!"

Allons, allons... Qu'on ne me dise pas qu'une fois ou deux, les gentils messieurs des agences US n'ont pas, "comme pour justifier la fin", employé certains moyens... "illégaux".

L'Histoire nous prouve à maints égards que cela été déjà été fait.

Le souci ici n'est pas tant que Apple doive (ou pas) se plier au gré du FBI mais plutôt que cette dernière ait volontairement, afin je pense, de créer un précédent si cela fonctionne, fait en sorte que tout le monde soit au courant. Si personne n'avait rien su de l'affaire du smartphone bloqué, le FBI aurait pu alors se planquer derrière un impératif et faire faire le boulot en interne et dans un secret bien gardé par Apple.

Ce qui me semblerait illégal, serait, comme on dit, de se faire attraper.

Cela dit, je suis foncièrement contre toute immiscions dans la vie privée, quelqu'elle soit, sans preuve. Et si la preuve ultime ne peut être découverte, il y a(ura) d'autres méthodes pour y parvenir.
> arguer de la trop grande sécurité des smartphones (aujourd'hui, Apple; qui demain ?) parce qu'un terroriste en a utilisé un, c'est mettre tous les utilisateurs de ces appareils dans le panier "terroristes qui auraient quelque chose à cacher".
> le gvt m'a donné le droit de chiffrer mes données il y a quelques temps, je le fais dès que possible.

avatar Ali Baba | 

@tbr :
Bah si t'emploies un moyen illégal pour te procurer une information, tu peux te brosser pour pouvoir l'utiliser en justice. Et aux USA, ils ne rigolent pas avec ça.

avatar mac_adam | 

.

avatar YAZombie | 

@tbr: beaucoup se sont posé cette question, notamment chez Apple, qui a accusé le FBI de vouloir manipuler le public en utilisant cette histoire bien évidemment "sensible. On remarquera que la commission parlementaire américaine qui s'est réunie la semaine dernière n'a pas du tout apprécié de voir le FBI tenter d'obtenir par une voie détournée et en jouant sur l'émotionnel lié à l'attaque de San Bernardino des droits que les législateurs lui ont clairement refusés.
Par ailleurs, il faut tout de même se rappeler qu'il y a une chose qui s'appelle le droit. Le FBI a une autorité policière, elle n'est pas autorisée à procéder en dépit ou contrairement au droit. Elle a donc demandé un mandat à un juge, pour avoir le droit de tenter d'obtenir les informations contenues dans le téléphone en question, en arguant d'une loi ancienne (l'All Writs Act) dont la plupart des juristes estiment qu'elle ne peut s'appliquer au cas présent (et les parlementaires américains ont exprimé la même opinion).

Pour conclure:
- ce que tu proposes est hors-là-loi, en tout cas pour le FBI et dans le cas présent. Ça explique sûrement pourquoi le FBI n'a pas procédé ainsi?
- il est évident que si le FBI et Apple procédaient de cette manière, ça s'ébruiterait, ça se saurait, très très vite, et on retombe dans les mêmes risques pour la sécurité de tous qu'Apple et tous les experts en sécurité informatique décrivent depuis le début de cette affaire.

avatar TheRV | 

Yazaombi > cest ton attitude qui est démagogique et irresponsable...

avatar reborn | 

si l'on suit un certain personnage ici, il faudrait nous implanter des puces rfid dans la boite crânienne dès la naissance. Une puce qui servirait a nous localiser et en la faisant surchauffer a neutraliser un ennemie à l'ordre publique.

Bah oui, après tout si l'on a rien a se reprocher je ne vois pas le problème.

avatar rikki finefleur | 

Non, il faut savoir être modéré. Modéré!
On pouvait très bien vivre sans avoir le besoin de tout crypter. Vous etes tombés dans quel panneau ?

Le cryptage extrême va amener une grande opacité dans bien des genres, informatique, communication, financière, mafieuse, ou technologique, et pas sur que cette opacité soit bonne pour le citoyen, ni pour les entreprises, ni pour les états.

C'est vous qui êtes extrémistes et paranos.
Car pour le citoyen lambda rien ne va changer dans sa vie, par contre pour d'autres cela risquent des voies royales. Ils aiment l'opacité et l'anonymat pour leurs activités.. Voilà ou mène la politique de la pomme. Un genre de jungle sans personne pour y veiller.

avatar Neufouad | 

@Rikiki
« Un genre de jungle sans personne pour y veiller. »

Et ce serait nous les paranos… T'en rates décidément pas une !
Merci pour le rire matinal.

avatar sambucus | 

Sans entrer dans le débat relatif à cet article en particulier, je vous propose un article du journal électronique suisse de gauche «Domaine Public» (les réflexions sont en général de haute tenue, mais à vous de vous faire votre opinion) — http://www.domainepublic.ch/articles/29000 — consacré au bras de fer Apple contre FBI.

La lecture de cet article m'a conduit à lire le Communiqué de presse de la Cour de Justice de l'Union européenne du 6 octobre 2015, intitulé: «La Cour déclare invalide la décision de la Commission constatant que les États-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées». — http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdfhttp://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf — ce qui permet de remettre un peu le débat dans son contexte.

Bonne lecture.

avatar mac_adam | 

@sambucus :
Concernant le premier article, il semblerait qu'Apple se dirige vers un iCloud dont elle n'aurait elle-même pas la clé de déchiffrement : http://www.numerama.com/politique/148221-apple-veut-aller-encore-plus-loin-pour-garantir-le-chiffrement.html .
En ce cas, Apple se préoccupera autant de la protection des données serveur de ses clients américains qu'étrangers...

(L'autre article donne sur un ERROR 404).

avatar sambucus | 

Effectivement, j'ai mis un lien qui ne fonctionne pas. Bizarre. Voici le lien :
http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117fr.pdf
Il doit fonctionner cette fois-ci, je l'ai testé.

Merci pour votre article que j'ai lu avec intérêt. Je ne suis qu'en partie d'accord avec votre affirmation selon laquelle en renforçant le chiffrement d'iCloud, le problème serait réglé. Techniquement, ce devrait être le cas. Cependant, le problème n'est que partiellement résolu.

La solution réside dans NOTRE VOLONTÉ DE CITOYEN pour opérer un choix qui soit bon pour nous. C'est à nous de nous préoccuper de cet élément de NOTRE vie. Nous ne devons pas déléguer à d'autres le soin de nous décharger de ce souci en nous montrant vite satisfait.

En premier lieu, nos données devraient être stockées sur notre continent. Je crois qu'Apple compte investir dans ce sens. C'est très gentil, mais ce devrait résulter d'une exigence légale européenne, de nos propres lois.

Excusez ce parallèle, mais c'est comme nos déchets. On les dépose n'importe où trop souvent par paresse, par manque de conscience, par délégation à d'autres le soin de s'en occuper. Descendre le sac poubelle est une corvée de trop. Les éboueurs n'auraient qu'à passer dans chaque appartement pour les prendre ! Non ? Cette dernière proposition est ridicule, mais elle illustre le fait que c'est à chacun de nous de maintenir propre le lieu où l'on vit, sinon on risque de tomber malade, etc. Mais trop nettoyer inhibe nos défenses naturelles.

Il en va de même pour la protection de nos données numériques. Nous devons décider le degré de précaution qui nous est nécessaire pour nous sentir bien, en tenant compte de TOUS nos besoins de sécurité, y compris les limites que la justice et la police doivent respecter pour y accéder, même si c'est pour nous protéger. Sinon, il n'y aura plus de démocratie, mais une tyrannie.

Que voulons-nous ? Ce que Apple veut ? Ce que notre gouvernement veut ? Le FBI ?

avatar mac_adam | 

Votre lien est très intéressant en ce sens qu'il montre qu'il y a au moins une institution en Europe qui a pris la mesure du problème et de son importance fondamentale.
Malheureusement elle n'est pas compétente en la matière pour faire appliquer sa décision.
Quant aux Européens, ils ne comprennent rien au fonctionnement des institutions de l'Union Européenne et ne risquent donc pas d'infléchir leur position très conciliante avec les USA sur ce sujet. Et aux niveaux nationaux l'ambiance sécuritaire n'arrange pas la situation. Sans compter que beaucoup ne comprennent pas l'importance du sujet, ne saisissent pas combien cette affaire entre Apple et l'administration américaine a de multiples ramifications.
Au final, il semble en effet que ce soit Apple, entreprise privée, qui pour le moment a seule pris la pleine mesure des enjeux dans cette histoire tout en étant décidée à mettre en oeuvre tous les moyens nécessaires à la protection de ses utilisateurs.

avatar Camin | 

il a raison il faut protéger le grand banditisme de la police comme les terroriste, les kidnappeurs et pédophiles, les serial killers, etc etc etc
grâce à Apple: ils sont bien à l'abri!!!
par contre la police peut prendre vos ordinateurs, vos journaux intimes, tout ce qui est le plus personnel et important mais pas un téléphone!!!
Apple lui donne des leçons mais est le premier à censurer ce qu'il veut et il ne faut pas grand chose... faites ce que je dis pas ce que je fais!!! surtout.
c'est plus important que des vies: mais qu'est ce qu'un smartphone peut contenir qui soit plus important que sauver des vies?! franchement!!! on se fout du monde là...

avatar Domsware | 

@camin
La police peut prendre un téléphone comme le reste. La question concerne le contenu.
Je peut chiffrer le contenu de mon ordinateur, chiffrer mes journaux intimes aussi si je le souhaite. Tout comme le téléphone en fait.

En plus ce commentaire est dans le pathos : le contenu du téléphone qui peut sauver des vies. L'on peux objecter exactement le contraire : le contenu du téléphone qui peut coûter des vies.

avatar Jeanlucesi | 

Exploiter les petits Chinois les pousser à bout pour nourrir les actionnaires ce n'est il pas criminel?

avatar Domsware | 

@Jeanlucesi

Raconter des mensonges et les propager n'est-il pas criminel ?
Commentaire hors sujet.

avatar tbr | 

À tous ceux qui réclament la suppression (ou la diminution) du chiffrage, j'ai juste envie de dire deux ou trois choses...

1/ Qui a autorisé que l'on puisse utiliser le chiffrement dans nos appareils ?
> un de nos gouvernements, il n'y a pas si longtemps

2/ Quelles seraient les conséquences si le chiffrage des données était amoindri
> transactions financières, commerciales fichues à cause du manque inhérent de confidentialité, de sécurité, vols, fraudes, escroqueries possibles,etc.

3/ Combien de gens honnêtes possédant des smartphones (et autres appareils tels que des ordis) chiffrés — AVEC la bénédiction des gouvernements qui ont ouvert le chiffrement — par rapport aux "malandrins" (hé, hé, hé !) parce qu'ils n'ont rien à cacher... si ce n'est leurs données sensibles (n° de CB, n° de téléphone familiaux, données de santé, données bancaires, etc).
> On flique la masse par facilité en espérant y trouver les "terroristes" alors qu'on les a sous les yeux depuis longtemps.

Non, merci. Ceux qui réclament ce flicage devraient faire un tour dans certains pays. Ils seraient ravis de se faire fister "parce qu'on les accuserait sans preuve d'y cacher des trucs".

avatar TheRV | 

Tbr> on parle pas de diminuer le chiffrement des transactions ici, mais de chiffrer tout le contenu d'un appareil, en l'espèce un iPhone. Que le trousseau soit crypte, les numéros de CB, ok, mais l'intégralité des journaux d'appels, des images, des sms, des contacts, ce la profite juste aux bandits

Pages

CONNEXION UTILISATEUR